La tecnología operativa (OT) abarca los sistemas de hardware y software diseñados para supervisar, controlar y gestionar procesos físicos, dispositivos e infraestructuras en sectores críticos como la fabricación, la producción de energía, las redes de transporte y los servicios públicos. A diferencia de la tecnología de la información (TI), que se centra en el procesamiento de datos y la comunicación, la tecnología operativa (OT) gestiona procesos físicos del mundo real. Esto hace que la seguridad de la OT sea esencial para garantizar la seguridad, la continuidad y la integridad de las infraestructuras críticas.
En los últimos años, los entornos de tecnología operativa (OT) se han convertido cada vez más en blanco de sofisticadas amenazas cibernéticas. Estas amenazas suelen incluir el ransomware, los intentos de acceso no autorizado, el sabotaje deliberado de infraestructuras críticas y la explotación de vulnerabilidades en los sistemas de control industrial (ICS). Incidentes recientes destacados ponen de relieve la naturaleza crítica de estas amenazas, como el ataque de ransomware de 2021 contra Colonial Pipeline, que provocó importantes interrupciones en el suministro de combustible a lo largo de la costa este de EE. UU., y el ciberataque de 2022 contra las redes de satélites de Viasat, que afectó gravemente a las infraestructuras de comunicación en toda Europa durante la intensificación de los conflictos geopolíticos. A medida que los sistemas de tecnología operativa (OT) se interconectan e integran cada vez más con las infraestructuras de tecnología de la información (TI), se enfrentan a amenazas de ciberseguridad únicas que pueden provocar graves interrupciones operativas y consecuencias económicas sustanciales.
Detección de vulnerabilidades en el PLC Schneider Modicon M241 por OPSWAT 515
Schneider Electric es líder mundial en automatización industrial y gestión energética, y ofrece soluciones innovadoras para diversos sectores. La serie de PLC Modicon, en concreto el Modicon M241, ha ganado una gran popularidad gracias a su capacidad para gestionar de forma eficiente procesos de automatización complejos. Equipado con herramientas de programación intuitivas y capacidades de integración perfecta a través de la plataforma EcoStruxure de Schneider, el PLC Modicon M241 se utiliza ampliamente en sectores que requieren controles de automatización precisos y fiables.
Teniendo en cuenta la amplia difusión y el papel fundamental que desempeña el PLC Schneider Modicon M241 en las operaciones industriales, nuestra Unidad 515, integrada por Loc Nguyen, Dat Phung, Thai Do y Minh Pham, llevó a cabo una evaluación exhaustiva de las vulnerabilidades de este dispositivo en el Laboratorio de Protección de Infraestructuras OPSWAT (CIP) OPSWAT . Nuestro análisis reveló una importante vulnerabilidad de seguridad que, de ser explotada, podría comprometer la integridad del sistema y dar lugar a la exposición de datos confidenciales. Nuestro equipo se ha puesto en contacto de forma proactiva con Schneider Electric para informarles del problema y ayudarles en el proceso de identificación y planificación de la corrección, con el objetivo de reforzar la postura de seguridad general de los entornos OT.
En respuesta a nuestro informe, Schneider Electric ha publicado un aviso de seguridad en el que reconoce esta vulnerabilidad en el PLC Modicon M241, concretamente la CVE-2025-2875. El objetivo de estos avisos es informar a las partes interesadas de los posibles riesgos de seguridad y ofrecer orientaciones claras sobre cómo aplicar las medidas correctivas adecuadas.
En este blog, ofrecemos un resumen general de CVE-2025-2875, una vulnerabilidad de seguridad detectada en el dispositivo Modicon M241 de Schneider Electric. Sin revelar información técnica detallada que pudiera facilitar su uso indebido, destacamos la naturaleza de esta vulnerabilidad, evaluamos sus posibles implicaciones para los entornos de tecnología operativa (OT) y ofrecemos recomendaciones prácticas para mitigar los riesgos asociados. Esta descripción general tiene como objetivo ayudar a los profesionales de la seguridad y a los propietarios de activos a proteger las infraestructuras críticas.
Modicon M241 y el Server web integrado
El Modicon M241, desarrollado por Schneider Electric, es un microcontrolador lógico programable (PLC) de alto rendimiento diseñado para tareas exigentes de automatización de máquinas. Resulta especialmente adecuado para arquitecturas de máquinas modulares y complejas, ya que ofrece un potente núcleo de procesamiento, interfaces de comunicación flexibles y opciones de configuración escalables para satisfacer una amplia gama de requisitos industriales.
Una característica destacada del Modicon M241 es su servidor web integrado, que ofrece una interfaz lista para usar a la que se puede acceder directamente a través de cualquier navegador web estándar. Esta función permite a los usuarios supervisar, configurar e interactuar con el controlador de forma remota, sin necesidad de software adicional ni configuraciones complejas.
Si bien el servidor web integrado mejora considerablemente la usabilidad, sobre todo en operaciones remotas, también plantea posibles riesgos de ciberseguridad si no se protege adecuadamente. Una validación inadecuada de las entradas o la falta de controles de autenticación podrían exponer el sistema a accesos no autorizados o a manipulaciones.
Conscientes de estos posibles riesgos de seguridad, nuestra Unidad 515llevó a cabo una evaluación exhaustiva de la seguridad del servidor web integrado del Modicon M241. El objetivo era determinar si existían vulnerabilidades explotables en este componente que pudieran comprometer la integridad, la disponibilidad o la confidencialidad del sistema.
CVE-2025-2875: Referencia controlada externamente a un recurso de otro ámbito
En consonancia con este objetivo, la Unidad 515 llevó a cabo un análisis en profundidad del servidor web integrado Modicon M241. Este análisis reveló situaciones concretas en las que el servidor web integrado aceptaba solicitudes de acceso a archivos diseñadas intencionadamente, eludiendo así las restricciones de seguridad previstas. Además, un examen exhaustivo del dispositivo permitió identificar rutas de archivos internas dentro del PLC. La explotación de esta vulnerabilidad podría permitir a un atacante no autenticado acceder a archivos internos confidenciales del dispositivo, lo que afectaría significativamente a la confidencialidad del sistema.
La vulnerabilidad se comunicó a Schneider Electric mediante un proceso de divulgación responsable, y desde entonces se han puesto a disposición las medidas de mitigación y corrección adecuadas. Con el fin de proteger a los clientes de Schneider y evitar un posible uso indebido, OPSWAT ocultado deliberadamente la información técnica detallada relacionada con esta vulnerabilidad.
Cronología de CVE-2025-2875
En consonancia con las prácticas de divulgación responsable y el compromiso OPSWATcon la protección de las infraestructuras críticas, la Unidad 515 notificó de inmediato la vulnerabilidad a Schneider Electric a través de su canal oficial de contacto de seguridad para colaborar en la investigación y la planificación de las medidas correctivas:
- 20 de febrero de 2025: La Unidad 515 presentó un informe de vulnerabilidad a Schneider Electric en el que se detallaba la vulnerabilidad del dispositivo Modicon M241.
- 21 de febrero de 2025: Schneider Electric acusó recibo del informe e inició una investigación interna. Se asignó un número de seguimiento del caso para coordinar el seguimiento.
- 20 de marzo de 2025: Tras un análisis detallado, Schneider Electric confirmó la validez de la vulnerabilidad y comenzó a elaborar un plan de corrección.
- 13 de mayo de 2025: Schneider Electric publicó un aviso público junto con instrucciones para solucionar el problema detectado. A esta vulnerabilidad se le asignó el identificador CVE CVE-2025-2875.
Remediación
Recomendamos encarecidamente a las organizaciones que utilicen dispositivos PLC Modicon M241 de Schneider Electric que sigan las instrucciones oficiales proporcionadas por Schneider Electric para solucionar esta vulnerabilidad, disponibles aquí: Documento de aviso de seguridad de Schneider.
Para mitigar de forma eficaz vulnerabilidades como la CVE-2025-2875, las organizaciones deben adoptar una estrategia integral de defensa en profundidad, que incluya:
- Vulnerability detection un análisis continuo de CVE: análisis periódico de las redes en busca de vulnerabilidades como CVE-2025-2875
- Supervisión de comportamientos anómalos: Detección de aumentos inusuales en la frecuencia de las comunicaciones con el PLC Schneider Modion M241, lo que podría indicar un intento de fuga de datos no autorizado en curso
- Detección de conexiones de dispositivos no autorizados: el sistema debe detectar cuándo un dispositivo no autorizado se conecta al PLC
- Segmentación de la red: aislar los dispositivos afectados puede ayudar a evitar la propagación lateral de los ataques, minimizando así su impacto.
- Prevención de intrusiones: identificación y bloqueo inmediatos de los comandos maliciosos o no autorizados dirigidos al PLC, lo que permite proteger eficazmente el funcionamiento normal del PLC
OPSWATMetaDefender OT Security de OPSWAT responde a estas necesidades detectando vulnerabilidades CVE, supervisando continuamente la red en busca de comportamientos inusuales e identificando conexiones no autorizadas. Mediante el uso de la inteligencia artificial, aprende los patrones de tráfico normales, establece un comportamiento de referencia e implementa políticas para alertar de anomalías. Esto permite dar respuestas inmediatas y fundamentadas ante posibles amenazas.
En caso de un ataque que aproveche la vulnerabilidad CVE-2025-2875, MetaDefender OT Security se integra con MetaDefender Industrial Firewall para detectar, alertar y bloquear comunicaciones sospechosas según las reglas establecidas. MetaDefender Industrial Firewall utiliza la inteligencia artificial para aprender los patrones habituales de tráfico y aplicar políticas para evitar conexiones no autorizadas.
El siguiente vídeo muestra cómo OPSWATMetaDefender OT Security y MetaDefender Industrial Firewall mitiga de forma proactiva esta vulnerabilidad y evita el acceso no autorizado dentro del entorno OT:
Más OPSWATde la prevención, MetaDefender OT Security de OPSWAT también permite a las organizaciones supervisar los indicios de explotación en tiempo real mediante una visibilidad continua de los activos y la evaluación de vulnerabilidades. Al aprovechar las capacidades avanzadas de seguimiento del inventario de activos y de evaluación de vulnerabilidades, nuestra plataforma ofrece una detección proactiva de amenazas y facilita la aplicación de medidas correctivas rápidas y eficaces.
El siguiente vídeo muestra cómo MetaDefender OT Security identifica de manera eficaz los dispositivos vulnerables y ofrece rápidamente soluciones para las vulnerabilidades detectadas:
